Utan helhetssyn rasar cybersäkerheten ihop
Alla verksamheter behöver ett väl fungerande skydd för sin IT-miljö. Inte minst när omvärlden den senaste tiden präglats av ökade säkerhetshot. För att skapa en fungerande säkerhetsarkitektur är det viktigt att börja med grundskyddet och tänka på helheten.
Att cybersäkerhet är viktig förstår de flesta, likaså upplever många verksamheter att det är svårt att skapa ett bra och heltäckande skydd. Svårigheten kommer sig bland annat av de senaste årens snabba utbredning av distansarbete och digitalisering vilket nutidens cyberkriminella utnyttjar för att hitta möjliga tänkbara säkerhetsbrister. Men det handlar också om att cybersäkerhet är ett extremt komplext område.
Det finns väldigt många aspekter, dimensioner, perspektiv eller lager, inom cybersäkerhet. Ett stort problem är att många lösningar och tjänster utgår från en, eller ett fåtal perspektiv. Därför är det centralt att kombinera flera olika varianter av skydd.
Samtliga lösningar behöver dessutom fungerar tillsammans för att säkra upp en verksamhets hela IT-miljö. Att skapa en omfattande säkerhet för många områden, eller att använda samma sorts skydd överallt, är inte tillräckligt idag. Verksamheter behöver ett helhetsperspektiv för att upptäcka och åtgärda blindfläckar som utgör en stor säkerhetsrisk.
Samspel är A och O
Chris Robertsson, senior strateg inom cybersäkerhet på IT-företaget Nordlo, jobbar kontinuerligt med de här frågorna. Nordlo har ambitionen att vara en heltäckande IT- och digitaliseringspartner i Sverige och hela Norden, och erbjuder breda tjänster inom cybersäkerhet. Det gör att Chris Robertsson behöver ta hänsyn till många olika perspektiv i utvecklingen av säkerheten för Nordlos kunder.
– Vi bygger våra säkerhetslösningar med en lagerprincip och designval som bland annat dikterar att varje tjänstevertikal endast får innehavas av en specifikt utvald lösning, som då inte får finnas i en annan vertikal.
– Det innebär att den samlade säkerhetslösningen har en uppsättning ögon som tittar på samma problem, men med olika infallsvinkel. Detta gör att vi kan detektera händelser som en enskild plattform inte nödvändigtvis skulle hitta. Dessutom är det väldigt lätt för oss att byta ut en lösning som börjar prestera undermåligt, säger Chris Robertsson.
– Ytterligare en stor fördel är att IT-miljön blir härdad mot så kallade supply chain-attacker. Även om en säkerhetstjänst skulle bli komprometterad i tillverkarens utveckling så är den bara en tjänstevertikal av många. Dessutom når vi en modell av ”first detect direct response” vilket innebär att tjänsten som först identifierar ett hot är den som kommer respondera på hotet utan förhandling med övriga tjänster, fortsätter Chris Robertsson.
Flera skydd behövs
Ett sätt att se på den beskrivna säkerhetsstrategin är att den är tredelad. Det handlar om att skydda specifika IT-resurser, skydda hela IT-miljön och skapa ett skyddsnät för användarna. Ett fjärde ben i strategin är ytterligare redundans i detekterings- och mitigeringslagren, eller att komplettera med fler anpassade skydd.
– Ta säker mejl som exempel. Det går till exempel att kontrollera mejlen i mejltjänsten och med en röd tråd knyta ihop detta med nätverkstrafiken och aktivitet på den lokala datorn genom att i realtid analysera trafik och loggar med relevans för händelsen. Om man använder dessa fyra säkerhetslösningar, och ytterligare någon, är det väldigt sällan som experterna på ett säkerhetscenter behöver vara den som ingriper först, säger Chris Robertsson.
Olika säkerhetsföretag delar in sina erbjudanden i olika tjänster. Exempel på tjänster är klientskydd (endpoint protection), övervakning och åtgärder, kontroll av sårbarheter, samt skydd för molntjänster. Oberoende av vilka tjänster som erbjuds så gäller det att uppfylla det skyddsbehov som finns. Men med vilka lösningar ska man börja?
– Vår rekommendation är att börja med att implementera ett grundläggande skydd direkt, kanske med utgångspunkt i regulatoriska krav eller rekommendationer inom standarder som till exempel ISO 27001. Lägg inte flera hundra timmar på en förstudie som första steg, säger Chris Robertsson.
Ett bra grundskydd bör omfatta löpande sårbarhetsanalys, säkerställa att tekniska system är uppdaterade, klientskydd, molnskydd, logglösning med normalisering samt en försäkran om att behörigheter och inloggningar är säkra och att rutiner efterföljs. När grundskyddet väl finns på plats kan verksamheter addera funktionsdefinierade säkerhetslösningar efter analys av skyddsvärda tillgångar.
Automatisering är ett krav
För att lyckas med sin cybersäkerhet finns det fler aspekter än att integrera olika säkerhetsprodukter och -tjänster. Den kanske största utmaningen är att följa upp och hantera uppkomna sårbarheter och så snabbt som möjligt åtgärda de problem som upptäcks. För att lyckas med det i en modern IT-miljö är det av största vikt att automatisera så många av aktiviteterna som möjligt, och det är där AI-disciplinen maskininlärning kommer in.
Alla framstående leverantörer av produkter och tjänster för cybersäkerhet lägger i dag stora resurser på automatisering och maskininlärning. Tyvärr är det svårt för den vanliga verksamheten att genomföra och bedöma hur lyckade de satsningarna är. Man behöver allt som oftast en partner som har gjort jobbet tidigare och kan leverera tjänsterna eller vägleda i val av lösning såväl som den strategiska och operativa förvaltningen.
Ytterligare en viktig fråga är var säkerhetslösningar ska finnas.
– Centrala tjänster behöver inbyggd säkerhet från grunden, ta exempelvis en internetaccess. Den ska ha ett generiskt skydd mot överbelastningsattacker, men för att få en skräddarsydd lösning som kan stoppa avancerade överbelastningsattacker och felaktigt nyttjande av resurser behöver du addera fler specifika säkerhetslösningar utifrån era unika behov, avslutar Chris Robertsson.
Läs mer om morgondagens IT-säkerhet i rapporten framtagen av Nordlo i samarbete med analysföretaget Radar.